適用于分布式系統的多級安全訪問控制策略

馬銘鑫，史國振，王亞瓊，王豪杰，成文文

（1. 西安電子科技大學網絡與信息安全學院，陜西 西安 710071；2. 北京電子科技學院信息安全系，北京 100070；3. 西安電子科技大學通信工程學院，陜西 西安 710071）

適用于分布式系統的多級安全訪問控制策略

馬銘鑫1，史國振2，王亞瓊3，王豪杰3，成文文2

（1. 西安電子科技大學網絡與信息安全學院，陜西 西安 710071；2. 北京電子科技學院信息安全系，北京 100070；3. 西安電子科技大學通信工程學院，陜西 西安 710071）

針對分布式信息系統的資源共享及安全互操作問題，在多級安全模型基礎上加入管理平臺和中間件模塊，提出一種適用于分布式系統的多級安全訪問控制策略，保證數據機密性和訪問過程安全可控。用XACML語言對安全策略進行標準化描述，并對策略進行安全性和靈活性分析。

分布式系統；多級安全；管理平臺；中間件；XACML

1 引言

隨著Internet的飛速發展，計算機和通信網絡已經滲透到人們生活中的各個方面，分布式信息系統[1]憑借可靠性高、靈活性強以及擴充性好等特點得到越來越廣泛的應用。分布式信息系統之間需要進行大量數據通信和信息交互，因此面臨信息竊取、非法修改等威脅，如何確保網絡資源的安全共享和互操作已成為研究的重要課題。多級安全[2]作為強制訪問控制[3]的有效手段，其“不上讀不下寫”的安全特性可以控制數據按照級別只能從低向高流動，確保敏感數據不泄露，可以安全有效地解決跨域分布式系統之間的信息互操作，保證合法用戶對網絡信息資源受控正確地使用，限制非法用戶的入侵和蓄意破壞。

2 相關工作

訪問控制[4]的主要功能是允許合法用戶訪問和使用系統受保護的資源和服務，并防止非法用戶的訪問和合法用戶的非法訪問。對分布式系統訪問控制技術的研究始于20世紀90年代初分布式系統開始大量出現的時候[5]。隨著分布式技術迭代更新，安全管理機制發展遇到瓶頸，信任管理[6]成為新的研究突破點。信任管理是說明和解釋安全策略的統一方法，為安全策略提供標準、通用的機制[7]，允許對安全重要的動作進行直接授權。因此系統在實施訪問控制之前，制定其安全策略十分重要。文獻[8]提出一種基于風險的訪問控制模型，通過風險值及其波動幅度動態調整用戶的訪問權限，實現了分布式系統隱私保護的機制，但未體現多級安全策略。文獻[9]通過引入可信度量機制提出基于可信計算的多級安全策略（TCBMLSP, trust computing based multilevel security policy），保證主體行為可信和多級信息安全流通，但未通過非傳遞不干擾信息流理論對其進行建模與安全性證明。為提高分布式環境下多級安全實施的正確性和可行性，文獻[10]提出了分布式可信計算基（DTCB, distributed trusted computing base），實現了細粒度的多級安全訪問控制和信息流控制，并采用組合無干擾模型對齊進行形式化安全證明，但靈活性欠缺。文獻[11]從理論角度制定分布式控制系統和分級系統的研究計劃，討論建模、多級控制的分布式通信方式，但沒有具體實現方法。隨著理論的成熟，更多的安全策略被應用到實際系統中，文獻[12]提出一個安全框架，解決了預算和時間約束下分布式數據庫的安全需求，通過使用多級安全數據庫管理系統在不同站點復制不同的預定義安全策略，實現每個系統在進入操作模式之前通過嚴格的安全掃描。文獻[13]提出了基于分布式頂點中心范式的多級強制向導算法，并在Giraph平臺上實現，展示了安全策略算法的有效性和可擴展性。文獻[14]提出一個新的多層次分級模型，可以自動識別不同層云服務的攻擊類型和風險評估，保證數據隱私，但是未體現出可監管性。在對分布式文件系統的安全需求進行詳細、全面的分析后，本文以多級安全模型為基礎，提出一種適用于分布式系統的多級安全訪問控制策略，兼顧靈活性、可擴展性和第三方可監管特性。用XACML語言對安全策略進行清晰準確描述，并進行必要的安全性證明，有效解決分布式系統域間安全互操作問題。

3 模型概述

本文以多級安全模型為基礎，加入管理平臺和中間件模塊形成安全策略，提高模型的安全性和可擴展性，實現分布式信息系統之間安全高效的信息交互。

3.1 模型基本要素

主體（S, subject）：指用戶、進程，如式(1)所示。

客體（O, object）：指文件、數據、程序、存儲器段等，如式(2)所示。

安全等級（security level）：是主體、客體的梯度安全標記，包括主體、客體密級（classification）和范疇集（category）。主體、客體密級表示主體、客體保密性的敏感程度，如式(3)所示；范疇集表示組織中部門或類別的集合，如式(4)所示；系統中所有主體和客體均分配了密級和范疇集，如式(5)所示。

訪問控制矩陣（access matrix）：用矩陣的形式描述任意時刻系統中自主授權狀態，如式(6)所示。

訪問屬性集（attribute set）：描述主體訪問客體的方式，如式(7)所示。其中執行（E，execute），只讀（R，read），添加（A，append），讀/寫（W，write）。

系統狀態（state）：表示多級安全系統所有可能的系統狀態，如式(8)所示。用b表示在系統狀態v下，主體s對客體o的訪問屬性權限，如式(9)所示。

多級安全特性[3]（multilevel security property）：多級安全特性定義系統狀態的安全性，體現多級安全策略，如式(10)～式(12)所示，包括自主安全性、簡單安全性和*-性質。

3.2 模型新增模塊

為了擺脫傳統多級安全集中式管理的約束，本文通過加入管理平臺模塊和中間件模塊提高多級安全的可擴展性和安全性，實現了分布式系統之間信息安全交互和對分布式信息系統的安全管理。

管理平臺（platform）：是獨立、可信、可監管的第三方，負責協調各個跨域分布式系統的安全管理工作。主要功能包括：對分布式信息系統中的用戶和文件進行定級；采用公鑰密碼技術保證訪問請求/應答的安全信息交互；記錄用戶的歷史訪問信息，供日后進行安全審計。

中間件（middleware）：是分布式信息系統和管理平臺之間的信息交互接口，通過信息加密和解密、身份認證和口令校驗等方式完成兩者之間信息的安全交互。

4 多級安全策略

為了保證分布式系統信息跨域互操作的安全性和靈活性，對用戶訪問行為進行約束，本文在多級安全模型基礎上制定一種安全策略，保證主體對客體實施訪問控制時必須遵循一定的規則，確保系統安全性。

4.1 策略元素

將多級安全策略中涉及的參與元素用數學符號表示，具體元素的中文含義、英文含義和符號表示如表1所示。

表1 安全策略元素表示

4.2 安全策略詳述

本文為解決分布式系統之間不同等級用戶和文件安全互操作問題，提出一種多級安全策略，以Distx域下Sys1系統的用戶S3想要訪問Disty域下Sys1系統的文件O8的實現為例，安全策略詳細步驟如圖1所示。

Step 1 等級映射：管理平臺通過綜合評估對分布式系統用戶S3和文件O8進行重新定級，但是并不改變用戶和文件原有等級，而是將評定結果映射到管理平臺的等級映射表（LML，level mapping list），如圖2所示。

Step 2 主體訪問請求：用戶S3訪問文件O8，發起訪問請求s_req(s_distx, s_sys1, s3, s_selv, o_disty, o_sys1, o8, o_selv, op)，依次將req中主體區域、系統、用戶名、用戶安全等級、文件名和訪問方式等信息進行填充，o_selv暫不填充，因為此時S3并不知道O8的安全等級，然后通過中間件將請求信息分別用管理平臺和分布式系統的公鑰加密發送。

Step 3 客體本地查詢：Disty區域Sys1系統的中間件收到Distx區域Sysi系統的用戶S3的訪問請求后，對請求信息解密認證，然后根據O8文件名去本地文件系統數據庫查找O8相關信息，得到O8的安全等級。

圖1 多級安全策略結構

圖2 等級映射表

Step 4 客體訪問請求：文件系統Middleware生成一個一次性口令，并對req進行反饋形成o_res(s_distx, s_sys1, s3, s_selv, o_disty, o_sys1, o8, o_selv, op, pass)，將文件O8的o_selv和剛生成的pass進行填充，最后將o_res用管理平臺公鑰加密發送。

Step 5 管理平臺授權認證：管理平臺首先將收到step 2和step 4信息進行解密，然后進行匹配（為了確保是同一條請求信息），匹配成功后等級映射表LML根據主s_req和o_res中主體、客體信息查找對應的安全等級并根據多級安全模型進行授權判定，得到permission。

Step 6 平臺授權客體：管理平臺將授權判定結果用分布式文件系統公鑰加密返回，文件系統對p_res(s_distx, s_sys1, s3, s_selv, o_disty, o_sys1, o8, o_selv, op, pass, per)進行解密，如果per為同意訪問，文件系統將文件O8的password認證接口打開，并設置用戶訪問時限倒計時5 min（超時窗口關閉）；否則，Middleware關閉本次訪問請求。無論成功與否，都將該次訪問行為進行記錄，供日后安全審計使用。

Step 7 平臺授權主體：管理平臺將認定結果用用戶公鑰加密返回，p_res(s_distx, s_sys1, s3, s_selv, o_disty, o_sys1, o8, o_selv, op, pass, per)，如果per為同意訪問，用戶S可以用password訪問文件O8；否則，Middleware關閉本次訪問請求，同樣將該次訪問行為進行記錄，供日后安全審計使用。

Step 8 記錄訪問行為：同樣地，管理平臺也會將每次訪問行為都記錄在案，以獨立的可信第三方身份保證每一次主體訪問客體行為的真實抗抵賴性，供日后安全審計使用。

Step 9 安全審計：審計作為獨立的第三方，監督管理平臺、分布式文件系統和用戶歷史記錄，負責安全審計，供相關單位進行安全檢查。

4.3 XACML語言描述

XACML是一種統一標準語言[15]，用于描述訪問控制策略以及訪問控制請求/響應的產生過程，不僅為整個授權過程的控制提供一系列邏輯算法，而且還提供標準可擴展點，使其能夠很好地適用于分布式信息系統。本文從策略（policy）、請求（request）和響應（response）這3個方面對上述安全策略進行XACML語言描述，實現規范化和實例化。

1) Policy

Policy是對安全策略的核心描述，本文的訪問控制授權機制采用多級安全策略，即

2) Request

用戶需要規范地描述和表示跨域操作的請求，以說明自己的身份信息以及訪問目標。例如，位于上海市（Shanghai）檔案局（Document）的Alice想要查看北京市（Beijing）檔案局的上季度財務收入（quarter revenue），用XACML語言描述此請求過程如下。

3) Response

管理平臺通過Policy對Request進行安全驗證授權后，將授權結果返回給客戶端。如果允許，客戶用password進行訪問；如果拒絕，用戶則無權訪問該文件，用XACML語言描述如下。

5 模型分析

5.1 可擴展性分析

當有新的分布式系統加入時，根據本文提出的LML，只需將不同等級的用戶和文件按照等級進行映射，而不是將每一個用戶和文件重新定級，實用性較高，依次類推，管理平臺只需對系統從總體角度上進行認定，可以融入更多分布式系統，體現了較高的可擴展性。

5.2 安全性分析

5.2.1 信息交互安全性

管理平臺與分布式信息系統之間通信全程公鑰加密，并且Middleware還實現了用戶認證、password和訪問時限倒計時等功能，極大程度上保證了分布式系統之間信息交互的機密性。

5.2.2 模型安全性

由于模型中加入了LML，增添了原有多級安全的認證用戶和信息，因此需要對模型的安全性進行證明，最終結果表明安全性有保障。

即

else

進入(b, M, f)狀態。

具體證明如下。

① 證明滿足式(10)自主安全特性

滿足多級安全式(10)特性

② 證明滿足式(11)簡單安全特性

滿足多級安全式(11)特性

③ 證明滿足式(12)滿足*-特性

滿足多級安全式(12)特性

證畢。

6 結束語

本文基于多級安全模型，加入管理平臺和中間件模塊，提出一種適用于分布式系統的多級安全策略，保證了分布式系統之間跨域操作、信息交互的安全性，極大提高了安全策略的安全性和可擴展性。采用XACML語言對策略進行規范化描述，并對策略安全性進行形式化證明。接下來，將本文安全策略進行實現，并應用到實際分布式系統中。

[1] CHANDY K M, LAMPORT L. Distributed snapshots: determining global states of a distributed system[J]. ACM Transactions on Computer Systems, 1985, 3(1): 63- 75.

[2] BELL D E, PADULA L J L. Secure computer system: unified exposition and multics interpretation[J]. Secure Computer System Unified Exposition & Multics Interpretation, 1976.

[3] ISO 7498-2: 1989(en)[S].

[4] 李鳳華, 殷麗華, 吳巍, 等. 天地一體化信息網絡安全保障技術研究進展及發展趨勢[J]. 通信學報, 2016, 37(11): 156-166.

LI F H, YIN L H, WU W, et al. Research status and development trends of security assurance for space-ground integration information network[J]. Journal of Communications.2016, 37(11): 156-166.

[5] WOO T Y C, LAM S S. Authorization in distributed systems: a formal approach[C]//IEEE Computer Society Symposium on Research in Security and Privacy. 1992:33-33.

[6] BLAZE M, FEIGENBAUM J, LACY J. Decentralized trust man-agement[J]. Proceedings of IEEE Conference security & Privacy, 1996, 30(1): 164-173.

[7] Blaze M. The KeyNote Trust-Management System Version 2[J]. At & T Research Labs, 1999.

[8] 李甲帥, 彭長根, 朱義杰, 等. 面向Hadoop的風險訪問控制模型[J]. 網絡與信息安全學報,2016, 2(1): 46-52.

LI J S, PENG C G, ZHU Y J, et al. Risk access control model for Hadoop[J]. Chinese Journal of Network and Information Security, 2016, 2(1): 46-52.

[9] LIU X T, LI X W, CUI X. Research on trust computing based multilevel security policy[J]. Electronic Design Engineering, 2016.

[10] JING S, CHEN X, DU X, et al. Distributed multilevel security core architecture based on noninterference theory[J]. Journal of Computer Applications, 2013, 33(3): 712-716.

[11] SCHUPPEN J H V. Research program for control of distributed and of multilevel systems[M]//Coordination Control of Distributed Systems. Berlin: Springer, 2015: 385- 392.

[12] BATRA N, SINGH M. Multilevel policy based security in distributed database[M]//Advances in Computing and Communications. Berlin : Springer, 2011: 572- 580.

[13] ARLEO A, DIDIMO W, LIOTTA G, et al. A distributed multilevel force-directed algorithm[C]//The International Symposium on Graph Drawing and Network Visualization. 2016:3-17.

[14] HUSSAIN S A, FATIMA M, SAEED A, et al. Multilevel classification of security concerns in cloud computing[J]. Applied Computing & Informatics, 2016.

[15] eXtensible Access Control Markup Language (XACML) Version 3.0[S]. 2013.

Multilevel secure access control policy for distributed systems

MA Ming-xin1, SHI Guo-zhen2, WANG Ya-qiong3, WANG Hao-jie3, CHENG Wen-wen2

(1. School of Cyber Engineering, Xidian University, Xi'an 710071, China; 2. School of Information Security, Beijing Electronic Science and Technology Institute, Beijing 100070, China; 3. School of Telecommunications Engineering, Xidian University, Xi'an 710071 China)

A multilevel secure access control strategy for distributed system was proposed, which could guarantee the data confidentiality and security, through adding platform and middleware modules. The security policy was described in the XACML language, and the security and flexibility of the policy were analyzed.

distributed systems, multilevel security, platform, middleware, XACML

s: The National Key Research Program of China (No.2016YFB0800304), The Natural Science Foundation of Beijing (No.4152048)

TP309

A

10.11959/j.issn.2096-109.x.2017.00184

馬銘鑫（1992-），男，山西臨汾人，西安電子科技大學博士生，主要研究方向為網絡信息安全。

史國振（1974-），男，河南濟源人，博士，北京電子科技學院副教授、碩士生導師，主要研究方向為網絡與系統安全、嵌入式安全。

王亞瓊（1994-），女，山西朔州人，西安電子科技大學碩士生，主要研究方向為網絡信息安全。

王豪杰（1991-），男，山東青島人，碩士，西安電子科技大學碩士生，主要研究方向為訪問控制與網絡安全。

成文文（1993-），男，河南濟源人，北京電子科技學院碩士生，主要研究方向為網絡安全。

2017-05-10；

2017-06-27。通信作者：史國振，sgz1974@163.com

國家重點研發計劃基金資助項目（No.2016YFB0800304）；北京市自然科學基金資助項目（No.4152048）